Folgende Symptome treten auf: 

       --> Der Tunnel ist "up" und wird dementsprechenden auch so im WebGui angezeigt somit wurde Phase-1 und 2 erfolgreich etabliert. 

       --> Wenn ein ICMP Echo Request von 1.1.1.1 zu 2.2.2.2 gesendet wird dann:

           . Ich sehe die ICMP Packet auf dem Forti I "internal" Intercace
             
             # diagnose sniffer packet [Interface Name zB "internal"] icmp "host [IPv4 Adresse der Remote Seite]"

           . Ich sehe die ICMP Packet auf dem Forti I "toFGT2" Interface 
             
             # diagnose sniffer packet [IPSec Phase-1 Interface Name zB "toFGT2"] icmp "host [IPv4 Adresse der Remote Seite]"

           . Ich sehe keinen Traffic auf der Forti II "toFGT1" Interface

             # diagnose sniffer packet [IPSec Phase-1 Interface Name zB "toFGT1"] icmp "host [IPv4 Adresse des Initiators]"

Wichtig in diesem Troubleshooting ist das fr die SSH Sessions alle Informationen in ein Log File gespeichert werden um diese nachtrglich dem 
Support zu bermitteln. Es mssen fr dieses Troubleshooting mehrere SSH Sessions auf die entsprechenden FortiGate Devices etabliert werden um
die verschiedenen Informationen aufzuzeichnen. Fr diese verschiedenen SSH Sessions mssen jeweils ein Log File geschrieben werden um die 
Informationen zu separieren. Wenn "putty" verwendet wird fr die SSH Sessions kann ein Log File ber folgende Position aktiviert/konfiguriert 
werden:

       Category > Session > Logging > All Session output


       NOTE Um das nachfolgende Scenario und Befehle besser zu verstehen gehen wir von folgenden Scenario aus:

        _________________________                  ___________                    __________                     ____________                  _________________________
       |                         |                |           | 1.1.1.1          |          |           2.2.2.2 |            |                |                         |
       | LAN Env. 10.1.1.0/24    |----- LAN ------| Forti I   |------ WAN1 ------|  IPSec   |------ WAN 1 ------|  Forti II  |------ LAN -----| LAN Env. 10.2.2.0/24    |
       |_________________________|                |___________|                  |__________|                   |____________|                |_________________________|


       Phase-1 Interface auf der Forti I ist benannt: "toFGT2"
       Phase-1 Interface auf der Forti II ist benannt: "toFGT1"

Ausgehend von diesen Vorraussetzungen fhre folgendes aus: 

       AUF DER FORTI I
       ***************
       
       Oeffne eine SSH CLI Session 1 (IKE Debug und Debug Flow fr ICMP Traffic
       
       # diagnose debug reset 
       # diagnose debug console timestamp enable
       # diagnose vpn ike log-filter clear 
       # diagnose vpn ike log-filter dst-addr4 [Public IP Forti I dh. 2.2.2.2]
       # diagnose debug application ike -1 
       # diagnose debug flow filter clear 
       # diagnose debug flow show console enable 
       # diagnose debug flow filter proto 1 
       # diagnose debug flow filter addr [Client IP Forti I Local Env. der den ICMP ausfhrt dh. 10.2.2.2]
       # diagnose debug flow trace start 10000 
       # diagnose debug enable 
       
       Oeffne eine SSH CLI Session 2 (Capture ICMP Traffic) == 
       
       # diagnose sniffer packet any 'host [Client IP Forti II Local Env. nachdem der ICMP ausfhrt wird dh. 10.2.2.2] and icmp' 6 0 a
       
       Oeffne eine SSH CLI Session 3 (Capture IPSec Traffic) == 
       
       # diagnose sniffer packet any 'host [Forti II WAN-1 2.2.2.2] and [esp oder UDP Port 4500]' 6 0 a
       
       Oeffne eine SSH CLI Session 4 (Capture IPSec Traffic) == 
       
       # get sys status 
       # get router info routing-table database  
       # fnsysctl ps 
       # diagnose vpn ike status summary 
       # diagnose vpn ike status detailed 
       # get vpn ipsec tunnel summary 
       # diagnose vpn tunnel stat 
       # diagnose vpn ike crypto stats 
       # diagnose vpn ipsec status 
       # diagnose vpn ike gateway list 
       # diagnose netlink interface list [Name der Phase 1 auf Forti I dh. toFGT2] 
       # diagnose vpn ike routes 
       # diagnose vpn tunnel list 
       # diagnose vpn ike errors 
       # diagnose vpn ike counts 
       # diagnose hardware deviceinfo nic [Physical Interface ber dessen IPSec luft dh. wan1]
       
       # fnsysctl cat /proc/net/ipsec0 
       # fnsysctl cat /proc/cp6kxp/kxp0/brief 
       # fnsysctl cat /proc/cp6kxp/kxp0/cmdq 
       # fnsysctl cat /proc/cp6kxp/kxp0/cmdqdis 
       # fnsysctl cat /proc/cp6kxp/kxp0/rng 
       # fnsysctl cat /proc/cp6kxp/kxp0/task 
       # fnsysctl cat /proc/cp7/vpn0/brief 
       # fnsysctl cat /proc/cp7/vpn0/registers 
       # fnsysctl cat /proc/cp8/vpn0/brief 
       # fnsysctl cat /proc/cp8/vpn0/registers 
       # fnsysctl cat /proc/fsoc/cp7/vpn0/brief 
       # fnsysctl cat /proc/fsoc/cp7/vpn0/registers 
       
       NOTE Der "fnsysctl" Befehl schreibt die CP6/CP7/CP8/SoC Statistik Informationen in die CLI Session.
            Einige der Kommandos werden nicht funktionieren (file does not exist) da diese Kommandos alle ASIC's 
            abdecken resp. berprft. NP2/NP4/SP Hardware Offload Informationen sind nicht enthalten das diese 
            Informationen auf dem FortiGate Modell basiert (Einige haben ein Chip, andere Zwei oder auch Vier).


       AUF DER FORTI II
       ****************

       Oeffne eine SSH CLI Session 1 (IKE Debug und Debug Flow fr ICMP Traffic
       
       # diagnose debug reset 
       # diagnose debug console timestamp en 
       # diagnose vpn ike log-filter clear 
       # diagnose vpn ike log-filter dst-addr4 [Public IP Forti I dh. 1.1.1.1]
       # diagnose debug application ike -1 
       # diagnose debug flow filter clear 
       # diagnose debug flow show console enable 
       # diagnose debug flow filter proto 1 
       # diagnose debug flow filter addr [Client IP Forti I Local Env. der den ICMP ausfhrt dh. 10.1.1.1]
       # diagnose debug flow trace start 10000 
       # diagnose debug enable 
       
       Oeffne eine SSH CLI Session 2 (Capture ICMP Traffic) == 
       
       # diagnose sniffer packet any 'host [Client IP Forti II Local Env. nachdem der ICMP ausfhrt wird dh. 10.1.1.1] and icmp' 6 0 a
       
       Oeffne eine SSH CLI Session 3 (Capture IPSec Traffic) == 
       
       # diagnose sniffer packet any 'host [Forti II WAN-1 1.1.1.1] and [esp oder UDP Port 4500]' 6 0 a
       
       Oeffne eine SSH CLI Session 4 (Capture IPSec Traffic) == 
       
       # get sys status 
       # get router info routing-table database 
       # fnsysctl ps 
       # diagnose vpn ike status summary 
       # diagnose vpn ike status detailed 
       # get vpn ipsec tunnel summary 
       # diagnose vpn tunnel stat 
       # diagnose vpn ike crypto stats 
       # diagnose vpn ipsec status 
       # diagnose vpn ike gateway list 
       # diagnose netlink interface list [Name der Phase 1 auf Forti II dh. toFGT1] 
       # diagnose vpn ike routes 
       # diagnose vpn tunnel list 
       # diagnose vpn ike errors 
       # diagnose vpn ike counts 
       # diagnose hardware deviceinfo nic [Physical Interface ber dessen IPSec luft dh. zB "wan1"]
       
       # fnsysctl cat /proc/net/ipsec0 
       # fnsysctl cat /proc/cp6kxp/kxp0/brief 
       # fnsysctl cat /proc/cp6kxp/kxp0/cmdq 
       # fnsysctl cat /proc/cp6kxp/kxp0/cmdqdis 
       # fnsysctl cat /proc/cp6kxp/kxp0/rng 
       # fnsysctl cat /proc/cp6kxp/kxp0/task 
       # fnsysctl cat /proc/cp7/vpn0/brief 
       # fnsysctl cat /proc/cp7/vpn0/registers 
       # fnsysctl cat /proc/cp8/vpn0/brief 
       # fnsysctl cat /proc/cp8/vpn0/registers 
       # fnsysctl cat /proc/fsoc/cp7/vpn0/brief 
       # fnsysctl cat /proc/fsoc/cp7/vpn0/registers 
       
       NOTE Der "fnsysctl" Befehl schreibt die CP6/CP7/CP8/SoC Statistik Informationen in die CLI Session.
            Einige der Kommandos werden nicht funktionieren (file does not exist) da diese Kommandos alle ASIC's 
            abdecken resp. berprft. NP2/NP4/SP Hardware Offload Informationen sind nicht enthalten das diese 
            Informationen auf dem FortiGate Modell basiert (Einige haben ein Chip, andere Zwei oder auch Vier).


Nun Oeffne auf "Forti I" auf dem Client 10.1.1.1 ein DOS Box (cmd) und versuche den Client auf "Forti II" zu erreichen dh. 10.2.2.2!
 
       C:\> ping 10.2.2.2 


Sobald ersichtlich ist, dass der Ping den Client 10.2.2.2 auf "Forti II" nicht erreichen kann fhre die Kommandos in der "ClI Session 4" auf Forti I und Forti II erneut aus: 

       Oeffne eine SSH CLI Session 4 (Capture IPSec Traffic) == 
       
       # get sys status 
       # get router info routing-table database 
       # fnsysctl ps 
       # diagnose vpn ike status summary 
       # diagnose vpn ike status detailed 
       # get vpn ipsec tunnel summary 
       # diagnose vpn tunnel stat 
       # diagnose vpn ike crypto stats 
       # diagnose vpn ipsec status 
       # diagnose vpn ike gateway list 
       # diagnose netlink interface list [Name der Phase 1 auf Forti II dh. toFGT1] 
       # diagnose vpn ike routes 
       # diagnose vpn tunnel list 
       # diagnose vpn ike errors 
       # diagnose vpn ike counts 
       # diagnose hardware deviceinfo nic [Physical Interface ber dessen IPSec luft dh. zB "wan1"]
       
       # fnsysctl cat /proc/net/ipsec0 
       # fnsysctl cat /proc/cp6kxp/kxp0/brief 
       # fnsysctl cat /proc/cp6kxp/kxp0/cmdq 
       # fnsysctl cat /proc/cp6kxp/kxp0/cmdqdis 
       # fnsysctl cat /proc/cp6kxp/kxp0/rng 
       # fnsysctl cat /proc/cp6kxp/kxp0/task 
       # fnsysctl cat /proc/cp7/vpn0/brief 
       # fnsysctl cat /proc/cp7/vpn0/registers 
       # fnsysctl cat /proc/cp8/vpn0/brief 
       # fnsysctl cat /proc/cp8/vpn0/registers 
       # fnsysctl cat /proc/fsoc/cp7/vpn0/brief 
       # fnsysctl cat /proc/fsoc/cp7/vpn0/registers 
       
       NOTE Diese Kommandos in "CLI Session 4" erstellen einen Snapshot bevor der ICMP ausgefhrt wird sowie nachtrglich.
            Das ist der Grund wieso die Kommands zweimal ausgefhrt werden mssen.


Danach mssen alle "SSH CLI Sessions" sauber abgespeichert werden sowie dem Support bermittelt werden. Mit diesen Informationen die 
vollumfnglich sind kann der Support eine tiefgreifenden Analyse durchfhren und das Problem eruieren! 
